1.10 隐私事件管理_国际注册数据隐私安全专家认证（CDPSE）：考试复习手册-QQ阅读男生历史网

上QQ阅读APP看本书，新人免费读10天

设备和账号都新为新人

1.10　隐私事件管理

许多法律、法规和行业标准要求企业在发现企业内部或第三方发生隐私泄露后遵守既定的隐私泄露响应规定。以下是几个关于隐私泄露通知的法律要求示例：

●美国 50 个州及 4 个领地的数据泄露通知法。

●欧盟 GDPR 数据泄露通知要求。

●HIPAA 和 HITECH 法案。

●加拿大违反安全保障条例：SOR/2018-64。

●美国证券交易委员会发布的《上市公司网络安全披露声明和指南》。

●澳大利亚《2017年隐私修正案（数据泄露通报制度）》。

●2013年颁布的南非《个人信息保护法》。

●哥伦比亚 1581 号《数据泄露通知法》。

●菲律宾的《2012年数据隐私法案实施规定与条例》。

●墨西哥《保护私人持有的个人数据的联邦法》。

隐私事件管理计划是企业隐私管理战略的必要部分，可确保企业一致且全面地应对涉及所有形式的个人信息及相关信息的所有事件类型，并履行企业所有的法律义务。

隐私事件响应团队（Privacy Incident Response Team， PIRT）应监督与隐私事件响应有关的所有组织组成部分。PIRT 还应监督任何涉及由企业直接收集、处理或维护，或者由承包商、第三方、供应商和其他类型的合约实体代表企业收集、处理或维护的个人信息的事件。应由经验丰富的隐私从业人员担任 PIRT 负责人，或者由隐私官担任 PIRT 顾问，以便在触发响应活动后积极参与和支持隐私事件管理。

PIRT 的任务是降低与个人信息丢失、遭到未经授权的访问或遭到滥用相关的风险，并监督响应工作，以尽可能高效、有效且快速的方式缓解隐私事件。

企业 PIRT 在保护企业的声誉和使命、建立和维护企业与其消费者、客户、患者、员工及享有企业投资利益的公众成员之间的信任方面起着至关重要的作用。

企业的所有组织都必须遵守企业的隐私政策和程序，包括隐私事件响应政策和程序。整个企业都必须履行其所有适用法律下的义务，包括现行的隐私泄露通知法律、法规和合同条款。隐私从业人员应确保企业人员了解隐私事件政策和程序。

导致丧失个人信息控制权的情景有很多，包括但不限于存储了个人信息的企业设备丢失或被盗、包含个人信息的文档丢失或被盗、人为错误或技术漏洞遭到利用。请参阅第1.12 节“与隐私有关的威胁、攻击和漏洞”了解更多信息。

事件详细信息有多个来源，包括特定的员工、部门、第三方、系统监控软件、单独报告的丢失事件或投诉，等等。应向 CPO 或类似角色报告隐私事件。之后，CPO 应通知 PIRT 成员。

无论来源如何，PIRT 都应监督对任何事件的隐私事件响应，这些事件表明员工可能未适当保护和控制整个企业内维护的各种个人信息。PIRT 应与负责的部门协商，以：

●确定并告知与事件相关的任何隐私风险。

●指导和建议针对个人信息泄露的具体响应措施。

●识别并解决潜在的法律和公共关系问题。

●按要求通知内部和外部实体或管理通知工作，以确保根据适用的法律法规进行通告。

例如，有些数据泄露通知法要求发出数据泄露通知且“不得无故拖延”。有些法律要求在发现数据泄露后72 小时内通知数据保护机构，例如欧盟 GDPR。美国许多数据泄露通知法规定了 30 ～ 60 天的通知期限。应咨询法律顾问，确定企业在发布所有数据泄露事件通知时应遵守的时间规定。

PIRT 的主要角色和职责是：

●监督隐私事件管理活动，识别疑似或实际发生的个人信息泄露。

●评估可能或确实违反 PII 的行为并确定应采取的行动。

●为涉及个人信息的事件提供建议并批准事件响应活动。

●评估责任企业的行动方案提议、风险评估、响应计划及提议的通知活动，提供反馈意见并提出改进建议。

●根据 PIRT 记录的隐私事件响应程序，通知相关的组织内部领导层疑似或实际发生的泄露事件。

●当发生涉及个人信息的事件时，确保企业的责任部门适当地向利益相关方报告、发出通知并采取跟进行动。

●确保企业所有领域和层级都遵循既定和适用的数据泄露通知规定管理隐私事件。

●与信息安全部门和其他组织的关键利益相关方（例如法务、公共关系和物理安全方面的利益相关方）紧密合作，协调隐私事件响应活动和数据收集工作。

●确保与相关的外部实体（例如执法部门、相关的联邦机构和相关的数据保护机构）协调隐私事件。

●与企业的信息安全事件团队协调事件响应能力，确保以有效和全面的方式管理事件的识别、上报、缓解和完结数据。

●分析隐私事件数据，以识别趋势并提出关于加强个人信息保护的建议。

●制定并维护标准操作程序，以有效管理潜在或疑似的隐私事件。

除管理事件响应工作外，PIRT 还应定期为 CPO 提供有关如何加强个人信息保护的建议，具体方法包括：分析隐私事件数据；制定加强保护的建议；审查和批准旨在降低事件再次发生的风险的事件响应计划；监控可能威胁到个人信息保护的环境威胁。

值得注意的是，隐私事件不同于安全事件。安全事件是指导致违反组织安全政策并使敏感数据面临暴露风险的事件。安全事件是一个较宽泛的术语，涵盖多种类型的事件。

隐私数据泄露事件是安全事件的一种。所有数据泄露都是安全事件，但并非所有安全事件都是数据泄露。安全事件可能涉及任何类型的数据，包括敏感的个人信息或不受监管但敏感的数据，例如知识产权。